[English]Kurze Information für Administratoren und IT-Mitarbeiter, die auf Produkte von Fortinet setzen. Der Anbieter hatte bisher auch einen kostenfreien VPN-Client in seinem FortiClient-Paket im Portfolio, der vermutlich von dem einen oder anderen Leser genutzt wurde. Mich erreichte gestern die Information, dass Fortinet den kostenfreien VPN-Client "aufgekündigt" habe. Wer das Produkt weiter einsetzen möchte, werde "zukünftig lizenzieren müssen".
Blog-Leser Daniel schrieb in einer Mail vom 10. September 2025 (danke dafür): "So wie es aussieht hat Fortinet heute den kostenfreien FortiClient VPN only aufgekündigt, damit Kunden diesen künftig lizenzieren müssen. Magst du das ggf. thematisch mal aufgreifen? Könnte für einige interessant sein, zumal ja immer mehr Firmen immer gieriger werden."
Abkündigung kostenfreier FortiClient VPN only
Fortinet hat in den Special notices 7.4.4 eine Reihe an Informationen untergebracht. Dort findet sich auch der Passus "No new version of VPN-only agent", wo es heißt:
FortiClient (Windows) 7.4.4 does not include a new version of the free VPN-only agent as no feature updates were made to the free VPN-only agent between 7.4.3 and 7.4.4. Users can continue to use the FortiClient (Windows) 7.4.3 free VPN-only agent.
Mit der FortiClient Version 7.4.4 für Windows kommt also kein VPN-only Agent mehr in der Free-Version. Nutzer können weiterhin den FortiClient (Windows) 7.4.3 free nutzen – irgendwann fällt diese Version dann aber wegen nicht mehr geschlossener Sicherheitslücken weg.
Diskussion auf reddit.com
Der Blog-Leser hat mich dann noch auf einen reddit.com-Diskussions-Thread Forticlient 7.4.4 removes VPN-Only option? hingewiesen. Dort stellt jemand die Frage, ob die obige Information die Abkündigung des FortiClient VPN-only free sei? Er schrieb:
Habe ich eine Mitteilung übersehen, dass FortiClient keinen kostenlosen VPN-only-Client mehr anbieten wird, oder bedeutet dies lediglich, dass wir den regulären FortiClient einsetzen müssen, was bei der Einführung neuer Versionen zu Verwirrung bei unseren Endbenutzern führen wird?
In diesem Post liefert jemand eine mögliche Erklärung für den Wegfall des VPN only Clients:
Might be related, but when I was reviewing the admin guide for 7.4.4 I found the following note:
Since a lot of free VPN users are still using IKEv1, this is probably why they are not releasing a free version of Forticlient 7.4.4 because it wouldn't work at all for those users anyway.
Ob das so zutrifft, kann ich nicht beurteilen. Als Alternativen schlägt jemand auf Reddit.com die folgenden Lösungen vor:
On the FortiGate: IPsec IKEv2 dial-up VPN
On the endpoint: Native Windows VPN client
With certificate MFA authentication:
Frage an die Leserschaft: Ist es korrekt, dass der FortiClient VPN only free Client für Windows tot ist, und ist jemand davon betroffen?
MVP: 2013 – 2016
Das altbekannte Spiel: Kostenfrei anfixen, anschließend abkassieren.
Immerhin hält sich der mutmaßliche Schaden ob der wahrscheinlich geringen Verbreitung in Grenzen.
Fortinet hat einen Marktanteil von über 80% weltweit. Aber ja die kleineren verwenden meist was anderes
Wenn man sich die Quelle durchliest gibt es einfach keine Änderungen an der VPN Funktion. Der vollwertige Forticlient kann ja noch mehr als VPN.
Dementsprechend gibt es zwar eine 7.4.4 von "Forticlient" aber keine 7.4.4 von "Forticlient VPN". Da steht aber nirgends, dass der "Forticlient VPN" eingestellt wird.
Für mich klingt das eher so, als hätte es für den 7.4.4 VPN-only Client keine Codeänderungen gegeben und sie hätten sich deshalb entschieden, keine neue Version herauszubringen, sondern jeder soll einfach den 7.4.3 Client weiterverwenden.
Ich sehe keine definitive Aussage, dass der kostenlose VPN-only-Client für immer abgekündigt ist.
Vielleicht sollte da Fortinet nochmal ein genaueres Statement dazu abgeben.
Das ist die 100.000 Dollar Frage. Ich kenne die Fortinet-Leute ja nicht, halte die aber nicht für unfähig, eine klare Aussage in den Release Notes abzugeben. Die Tatsache, dass das die Aussage nebulös formuliert ist und alle Möglichkeiten offen lässt, erlaubt ihmo bestimmte Schlüsse. Na ja, am Ende des Tages wird man sehen, wie es gemeint ist – schätze ich mal.
PS: Der VPN only Installer ist nicht mehr im Paket der 7.4.4 drin, wie man auf Reddit lesen kann. Wenn ich einen VPN only-Client nicht überarbeite, könnte ich den doch in das Paket mit rein packen. Oder?
Aber wieso sollte aber ein 7.4.3 Produkt im 7.4.4 Updatepaket mit dabei sein? Dieses Paket ist meines ersichtens kein reguläres Downloadpaket was man über die Homepage sich ziehen kann, wo alle produkte drin sind sondern ein Updatepaket.
"Users can continue to use the FortiClient (Windows) 7.4.3 free VPN-only agent."
Und der Forticlient VPN in 7.4.3 steht wie immer auf der homepage zum download bereit.
Das ist erstmal nur eine Momentaufnahme, die Anomalie im Supportportal ist jawohl unstrittig.
Moin Günter,
danke für die Veröffentlichung! Ich habe gestern auch noch mit einem Reseller gesprochen, der mir schlussendlich auch keine finale Aussage geben konnte, sich jedoch aber an Fortinet wenden will wie diese Situation zu verstehen ist. Allem Anschein nach sieht es aber so aus, dass ab Version 7.4.4 lizenziert werden muss, spätestens dann wenn 7.4.3 durch ein CVE auffällig wird. Ich gebe auf jeden Fall nochmal eine Rückmeldung hierzu.
Ich kann kein Ende des VPN only free Clients erkennen. Das wäre auch ziemlich kontraproduktiv. Am VPN client gab es gegenüber der letzten 7.4.3 Version keine Änderungen. Warum sollte er als 7.4.4 released werden?
Weil Vulnerabilitäten die 7.4.3 Version betreffen:
https://nvd.nist.gov/vuln/detail/CVE-2025-57716
https://nvd.nist.gov/vuln/detail/CVE-2025-57741
Sehe ich auch so – keine Änderung – kein Release. Sollte er wirklich mal wegfallen ist das doof. Wobei das Produkt IMHO eh nicht der Renner ist im Vergleich zu den Mitbewerbern die vermehrt auch auf Wireguard setzen (z.B. DreyTek mit deren VPN Client). Einziger Grund das Ding zu nutzen ist, wenn MFA mit FortiToken eingesetzt wird oder eingesetzt werden soll. Sonst würde ich auch immer Windows Nativ bevorzugen.
Fortinet? Nein danke.
Kann ich nachvollziehen, aber die IT Abteilungen größerer Unternehmen schören darauf (auch wenn sie nicht darauf wetten würden). Aähnliche Thematik wie Microsoft, Cisco, PaloAlto, Invanti, Citrix und wie sei alle heißen.
Nenn mir gerne eine bessere Alternative die im Enterprise Segment vertreten ist und derart gut Traffic von links nach rechts schaufeln kann.
Keine VPN Clients mehr, sondern lieber ZTNA Clients (Sophos, Privat Access, etc.)
@TBR und was ist ein ztna? Dieser öffnet auch eine vpn Verbindung.
Bei check point sagt man identity awerness dazu.
ZTNA ist meiner Meinung nach nur ein buzzword für einen hersteller, welcher rechts oben bei gartner stehen will. Wie forti zb mit sdwan, das auch nichts anderes als linkbalancing ist (Stichwort radware Linkproof, f5 link Controller, uvm)
Wir haben seit ca. 5 Jahren durchgehend FortiGate und ich kann das gut nachvollziehen. Ich halte mich nicht für einen Power-User, dennoch habe ich einige Bugs gefunden, die mich viel Zeit und Nerven gekostet haben. Von anderen schweren Fehlern, die dann wirklich nur Sicherheitsexperten finden, abgesehen.
Aber wie üblich ist dann die Frage, was ist die Alternative? Alle großen Anbieter mit entsprechend integriertem Portfolio sind US-Anbieter oder mind. Außer-Europäisch. Und alle haben sich nicht mit besserer Qualität hervorgetan.
Ich habe zuletzt dennoch mal wieder Richtung LANCOM geschielt. Und wie es aussieht, haben sie ja auch Produkte im gehobenen Mittelstand. Aber im Zweifelsfall wäre das ein wenig wie die Katze im Sack kaufen. Leider.
FortiGate macht von den großen Anbietern in meinen Augen ein paar Dinge richtiger als die anderen. Nicht zuletzt die intuitive Bedienung, so dass man auch anderen sich wiederholende Tasks überlassen kann.
Intuitive bedienung…. pffff.
Hatte 20 Cluster über den fortimanager, wenn man manche settings an 2 Stellen findet, aber nur eine dann funktioniert.
Und die vielen security issues, high darunter resw ich gar nicht. In 20 Jahren Check Point hatte ich nie soviele, wie in 3 Jahren forti. Dafür ist forti billig.
Das billig kann ich so nicht bestätigen. Bei vergleichbar spezifizierten Systemen war Checkpoint für uns erheblich günstiger, und ich mag deren Oberfläche ehrlich gesagt lieber als Forti.
viele setzen doch schon ohnehin bevorzugt den längst kostenpflichtgen IPsec VPN Client ein.
Von daher sind die leidgeprüften Fortigate Kunden nicht betroffen, die blechen schon länger ordentlich.
So ein blödsinn, der kostenfreie Client kann natürlich auch IPsec, inklusive SAML Auth.
dann war das eine Fehlinformation eines Kunden.
Kann sein, dass es der Client mit ZTNA u.a. Gedöns war.
Vielleicht einfach mal nicht alles ungeprüft weiterblubbern, Martin B?
wenn Du mir jetzt noch erklärst, was "alles" bedeuten soll, könnte ich vielleicht folgen.
Bin da nicht genau informiert, aber ab einer größeren Anzahl User wird wohl EMS für das Management eingesetzt, was mit dem free client nicht geht. Daher wohl auch die Aussage, dass Forti VPN Geld kostet.
Die Frage ist, bis zu welcher Nutzerzahl man mit dem Free Client sinnvoll kommt.
Habe bei meinem Distri nachgefragt wegen dem VPN-Only Client.
Antwort war
"Habe gerade die Bestätigung erhalten – war nur irgendwie unglücklich formuliert – wird so bleiben"
Schaun wir mal ob es wirklich so ist.
Jop,
erste Formulierung war:
"„VPN-only agent not supported
FortiClient (Windows) 7.4.4 removes support for the free VPN-only agent.""
Heute lautet der Text anders :)
Die Gratisversion kann ja kein ipsec oder?
ab Forti OS 7.4.X bzw jedenfalls mit aktuellstem FortiOS kein SSL VPN mehr.
vielleicht liegt das daran?
Klar, ikev1 und ikev2 kann der auch.
SSL-VPN läuft hier ohne Probleme auf FortiOS 7.4.8 mittels kostenlosen Forticlient 7.4.3
SSL-VPN ist erst komplett vorbei mit 7.6.x
Hallo Leute,
Nachdem Forticlient SSLVPN sowieso wegfallen wird bleibt ja nur mehr Client VPN mit IPSEC. Mit all den Schmerzen das es mitbringt. Oder eben Zero Trust und das kostet.
Hat schon mal jemand Global Access von M365 getestet? Eure Meinung als Alternative?
IPSec VPN geht auch mit der "VPN-only"-Variante. Selbst Zero-Trust geht mit Boardmitteln (FSSO), aber bin kein großer Fan davon (Verlässlichkeit).
Das M365 Global Access (ohne es produktiv eingesetzt zu haben) ist in meinen Augen eines der unterschätztesten Features der 365-Cloud. Meistens hängt man ja eh schon irgendwie in der Wolke, da fällt das halt mit ab. Andere lassen sich sowas gut bezahlen (Okta, etc.). Das MS das selbst macht, haben die wenigsten auf dem Schirm. Man muss ja auch nicht alles drüber machen, sondern reicht ja ggf. die Freigabe von wenigen unkritischere Anwendungen.
Ich bin mir zu 99% sicher, dass das nur zu uneindeutig formuliert wurde.
Erstes konnte man auch immer ohne Lizenz den "Full"-Client laden und nutzen. Dann hat man halt nur einen völlig überfrachteten Client mit dutzenden wegen fehlender Lizenz nicht nutzbaren Funktionen. Das Ding ist ein vollwertiger XDR-Client. Aber VPN geht damit auch.
Zweitens möchte man ja auch möglicherweise externen Partnern einen VPN-Zugriff gewähren, ohne sie gleich in die eigene Security Suite integrieren zu müssen. ;)
Die Haupteinschränkung von "Free" zu regulärem Client ist der fehlende Support. Es gibt nen Bug im VPN-Client? Have fun waiting on someone to report this with a payed license…
Unglücklich formuliert, alles bleibt beim Alten, so habe ich es am Freitag (12.09.) hinterfragt und von den Fortinet Jungs (Presales) bestätigt bekommen. ;-)
Der "FortiClient VPN" kann selbstverständlich SSL- und auch IPSec-VPN. Auch mit SAML. SSL-VPN wurde (endlich) mit FortiOS 7.6.4 komplett eingestampft. Neue Systeme (bspw. die FGT 90G) unterstützen heute bereits nativ KEIN SSL-VPN mehr, auch nicht in der Version vor 7.6.4.
Auch ein manuelles Backup und Restore der Konfig geht, weil das häufig mal hinterfragt wird. Das kleine Schloss oben rechts ist die Antwort auf diese Frage… ;-)
Der FortiClient VPN kann auch via Intune ausgerollt werden, mit einer XML als Konfig.
Korrekt, wenn's "größer" wird, sollten alle Clients zentral via FortiEMS oder FortiEMS Cloud verwaltet werden.
Klar, ZTNA ist die Zukunft, deshalb gibt's ja auch das passende Produkt, allerdings ist EMS + lizenzierter ZTNA Client hier zwingend erforderlich.
Die Antwort unseres Forti Ansprechpartners:
„Im Frühjahr 2024 überraschte Fortinet mit einer bedeutenden Ankündigung: Das beliebte SSL-VPN-Protokoll, das aufgrund seiner einfachen Handhabung und hohen Kompatibilität weit verbreitet ist, wird auf kleineren Geräten sowie in Firmware-Versionen 7.6 und höher vollständig entfernt.
Die Entscheidung, die von vielen Sicherheitsexperten positiv aufgenommen wird, basiert auf den wiederholten Sicherheitslücken in den zugrunde liegenden Bibliotheken des SSL-VPNs. Dies betrifft nicht nur Fortinet, sondern auch andere bekannte Anbieter wie Sophos, Cisco, Juniper und viele mehr, die ähnliche Schwachstellen in ihren komplexen Implementierungen aufweisen. Im besten Fall führen diese Lücken zu Verbindungsabbrüchen; im schlimmsten Fall kann das gesamte VPN-Gateway gefährdet sein, was zu Privilegien-Eskalation oder dem Umgehen von Authentifizierungsmechanismen führen kann.
Nach einer Reihe von schwerwiegenden Sicherheitsvorfällen in den Jahren 2022 und 2023 sah sich Fortinet gezwungen, die Notbremse zu ziehen. Ein wesentlicher Faktor für diese Entscheidung war, dass kritische Sicherheitsupdates nur durch komplette Firmware-Updates eingespielt werden konnten, was viele Anwender daran hinderte, diese zeitnah umzusetzen. Zusätzlich führte die Notwendigkeit eines Wartungsfensters und der Neustart der Geräte dazu, dass Updates häufig verzögert oder gar nicht angewendet wurden.
Die Auswirkungen der Änderungen variieren je nach eingesetztem Modell: Bei den kleineren Geräten mit geringem Speicher (2 GB) wird das SSL-VPN sowie das Web-VPN vollständig entfernt. Bei den größeren Modellreihen hat Fortinet hingegen eine Übergangslösung entwickelt, die das Protokoll länger verfügbar hält: Mithilfe von Container- und Virtualisierungstechnologien innerhalb der Firewall wird das VPN „isoliert", um einerseits Rechte-Eskalationen zu verhindern und andererseits automatisierte Updates der betroffenen Systembibliotheken zu ermöglichen, ohne dass der Nutzer eingreifen muss. Trotz dieser Lösung ist das SSL-VPN-Protokoll jedoch auch bei den größeren Modellen nicht mehr dauerhaft gesichert.
Ersatz durch Änderungen beim IPSEC
Ein Grund für die Beliebtheit des SSL-VPN war unter anderem, dass das sonst weit verbreitete IPSEC-VPN in vielen öffentlichen Netzwerken, wie zum Beispiel in Hotels, häufig blockiert wird. Dort wird oftmals nur TCP-Traffic zugelassen, der für den Zugriff auf Webseiten oder E-Mails erforderlich ist. IPSEC hingegen nutzt normalerweise UDP und ESP innerhalb des IP-Protokolls. Um dieses Problem zu lösen, hat Fortinet in den neuesten FortiOS-Firmware-Versionen die Möglichkeit eingeführt, IPSEC-Traffic auch über TCP zu transportieren – sowohl mit einer proprietären Lösung als auch nach dem RFC 8229-Standard. Wenn zudem der HTTPS-Port 443 verwendet wird, lässt sich in der Regel auch aus stark eingeschränkten Netzwerken, die IPSEC normalerweise blockieren, eine gesicherte Verbindung aufbauen. Voraussetzung ist, dass die neueste Version des FortiClient eingesetzt wird, die IPSEC über TCP unterstützt.
Zudem können auch beim IPSEC weiterhin Zwei-Faktor-Authentifizierung und zertifikatsbasierte Authentifizierung genutzt werden, was den Wechsel für den Nutzer insgesamt vorteilhaft macht.
Schrittweise Migration und parallele Konfiguration
Für neue Installationen ist es empfehlenswert, direkt auf IPSEC-basierte Remote-Access-VPNs zu setzen. Für bestehende Systeme kann eine parallele Konfiguration vorgenommen werden, um eine schrittweise Umstellung zu ermöglichen. So lässt sich der notwendige Rollout von Client-Updates sowie die Anpassung der VPN-Konfigurationen durchführen. Sobald die Funktionalität des SSL-VPNs mit einem Firewall-Update entfällt, kann die SSL-VPN-Funktion dann endgültig deaktiviert werden.
Aktuelle Systeme mit den FortiOS-Versionen 7.2 und 7.4 unterstützen weiterhin das SSL-VPN. Es sind derzeit keine Sicherheitslücken oder Fehler bekannt, sodass kein unmittelbarer Handlungsbedarf besteht. Da die Umstellung jedoch mindestens eine Anpassung aller VPN-Konfigurationen erfordert, empfiehlt es sich, die Migration im Rahmen anstehender Wartungsarbeiten vorzunehmen."
Jetzt zu dem Thema kostenfreier FortiClient VPN only:
Fortinet hat den kostenlosen FortiClient VPN-only Client abgekündigt. Die offizielle Bestätigung kam durch eine Mitteilung im Fortinet Special Notice (Version 7.4.4) und auch durch eine Pressemitteilung, die am 11. September 2025 auf verschiedenen technischen Plattformen und Nachrichtenportalen veröffentlicht wurde.
Details zur Abkündigung:
FortiClient VPN-only Client für Windows in der Version 7.4.4 wird nicht mehr weiterentwickelt und es gibt keine neue Version des VPN-only Clients.
Nutzer, die den kostenlosen Client verwenden, können jedoch weiterhin die Version 7.4.3 verwenden, aber auch diese wird irgendwann nicht mehr sicher sein, da keine neuen Sicherheitsupdates oder Patches mehr kommen.
Ab der Version 7.4.4 gibt es den VPN-only Client nicht mehr. Fortinet fordert Nutzer auf, auf die vollwertige FortiClient Version umzusteigen, die kostenpflichtig ist und auch zusätzliche Features wie Endpoint-Schutz und Sicherheitsrichtlinien umfasst.
Die Entscheidung, den kostenlosen FortiClient VPN-only Client einzustellen, ist Teil einer breiteren Strategie, bei der Fortinet die Funktionen und Sicherheitsstandards seiner Produkte verbessern möchte. Der Kostenfaktor und die Notwendigkeit regelmäßiger Sicherheitsupdates in einem zunehmend komplexeren Bedrohungsumfeld sind hierbei Schlüsselfaktoren.
Zusammenfassung:
Die Abkündigung des FortiClient VPN-only Clients ist keine Spekulation, sondern eine offizielle Maßnahme von Fortinet, die sowohl die Sicherheitslage als auch die langfristige Unterstützung ihrer Produkte betrifft. Es ist wichtig, dass Nutzer des kostenlosen Clients sich über diese Änderungen informieren und gegebenenfalls auf die kostenpflichtige Version von FortiClient oder alternative Lösungen umsteigen, um die Sicherheit ihrer Verbindungen zu gewährleisten.
Hallo Michael, vielen Dank für das teilen dieser ausführlichen Infos :-)
Was ist da nun der aktuelle Stand!?
Gibts was offizielles?
wird der free forti client weitergeführt oder nicht?
Also wir wollten grad den 7.4.4 wegen den Security Problemen installieren und der ist immer noch nicht vorhanden.
Unser Distri hat mal vorab folgedes mitgeteilt:
Der Forticlient VPN (die Gratisversion) wird von Fortinet weitergeführt. Die aktuelle Versionsnummer wurde nur nicht aktualisiert, weil sich im Bereich IPSEC und SSLVPN nichts geändert hat. Deshalb driften der «free Fortliclient» und die Bezahlversion wohl ab jetzt auseinander. Diesbezüglich waren die Gerüchte stärker als die tatsächliche Aussage von Fortinet. Grundlegend ist aber das definitive «Aus» oder die Weiterentwicklung von Fortinet noch nicht bestätigt.
Die offizielle Aussage von Fortinet
FortiClient (Windows) 7.4.4 does not include a new version of the free VPN-only agent as no feature updates were made to the free VPN-only agent between 7.4.3 and 7.4.4. Users can continue to use the FortiClient (Windows) 7.4.3 free VPN-only agent.
Mal schauen :-)
Update von unsererm Partner bezüglich dem 7.4.5 welcher ja einen Security Fix beinhaltet:
Ich habe eben erfahren dass dazu ein Hotfix kommt. Ob er schon draussen ist, oder wann kann ich aber noch nicht sagen.
Weiter wird es eine bezahlplichtige „light" Version kommen, welche keinen EMS Server benötigt. Preis wird unter 1$ pro Client pro Jahr sein.
Es scheint sich somit was zu tun. Leider jedoch noch keine genauen Termine ☹
Hier finale Infos
https://blog.boll.ch/vulnerability-fixes-for-free-vpn-only-forticlient-v7-4-3/
Kopfkratz was die da wieder veranstalten, aber immerhin mal einen Fix.